digitalswitzerland erachtet die Einführung einer Meldepflicht für Betreiberinnen kritischer Infrastrukturen bei Cyberangriffen als wichtigen und richtigen Schritt. Die Vorlage des Bundesrats bedarf in einigen Punkten noch der Präzisierung, damit Unklarheiten vermieden werden können. Der Geltungsbereich des Gesetzes lässt einen grossen Interpretationsspielraum, welche Unternehmen unter die Meldepflicht fallen. Auch sollen Überschneidungen mit bereits bestehenden Meldepflichten vermieden werden, um den Aufwand für die Betroffenen so gering wie möglich zu halten. Mit einer präziseren und differenzierteren Gesetzesgrundlage kann die Meldepflicht ihren Nutzen noch besser entfalten.

Die Gesetzesvorlage lässt in der jetzigen Form einen grossen Interpretationsspielraum, welche Unternehmen nun genau die Meldepflicht erfüllen müssen. Damit nicht Unternehmen verpflichtet werden, die irrelevant für die Cybersicherheit von Betreiberinnen kritischer Infrastrukturen sind, wird eine klarere Definition der Meldepflichtigen gefordert. digitalswitzerland schlägt eine abgestufte Meldepflicht vor, die sich an der Kritikalität der Unternehmen orientiert, um den Kreis der betroffenen Unternehmen zu reduzieren. Weiter ist der Meldegegenstand präziser zu beschreiben, damit keine Missverständnisse entstehen. So spricht der Gesetzestext wahlweise von Cybervorfällen, Cyberangriffen oder Schwachstellen.

Service-Mentalität soll Nutzen für die betroffenen Unternehmen in den Fokus stellen
Bereits heute melden Unternehmen Cybervorfälle an gewisse staatliche Stellen. Daher schlägt digitalswitzerland einen «one-stop-shop» für Meldungen im Cyberbereich vor. Diese dienstleistungsorientierte Massnahme würde den Nutzen der Gesetzesvorlage für die betroffenen Unternehmen nochmals deutlich steigern. Mit der Meldepflicht soll eine Behördendienstleistung angeboten werden, die auf einer partnerschaftlichen Zusammenarbeit mit der Wirtschaft beruht. Dafür braucht es gegenseitiges Vertrauen. Die vorgeschlagenen Strafbestimmungen lehnt digitalswitzerland deswegen gänzlich ab. Diese widerlaufen dem kooperativen Geist der Vorlage und tragen zu einem verstärkten Misstrauen zwischen den Beteiligten bei. Dies in einem Bereich in dem eigentlich gleichgerichtete Interessen bestehen.

Andreas W. Kaelin, Senior Advisor Cybersecurity von digitalswitzerland gibt zu bedenken: «Beim ganzen Gesetzesentwurf darf nicht vergessen werden, dass die Meldepflicht zwar ein wichtiger Beitrag zur schweizweiten Cybersicherheit leisten kann, für betroffenen Unternehmen in erster Linie jedoch eine administrative Belastung ist. Es braucht daher klare Vorgaben dazu ‹wer› ‹wem› ‹was› unter ‹welchen› Bedingungen liefern muss.»

Medienkontakt
Andreas W. Kaelin, digitalswitzerland, Geschäftsstelle Bern
Tel. +41 31 311 62 45 │ andreas@digitalswitzerland.com